我正在运行带有防火墙的Ubuntu Server 14.04系统。 Shorewall基本上是iptables的前端,而通过Netfilter进行日志logging的是iptables(迄今为止我的理解)。 我的问题是我无法理解有关login到不同目的地的shorewall文档 。 这是我来了多远: 我安装并启动了ulogd 我在/etc/shorewall/params定义了一个variables: LOG=NFLOG 我在/etc/shorewall/shorewall.conf所有出现的info都更改为$LOG 我在/etc/shorewall/shorewall.conf设置了日志目的地: LOGFILE=/var/log/shorewall 这应该是完成以下内容:Netfilterlogging到NFLOG ( NFLOG后继者)目的地,这意味着Netfilter日志消息由ulogd2处理。 我不知道的是,我可以告诉ulogd2将所有的shorewall消息写入我所需的日志文件/var/log/shorewall 。 这个文件是相当不清楚的,因为这个论坛线程certificate。 我发现这个博客文章同样含糊,关于ulogd2的日志redirect。 综上所述: 我的方法是将shorewall日志消息redirect到ulogd2是否正确? 如何configurationulogd2将shorewall的消息redirect到/var/log/shorewall ? PS:我不是在AskUbuntu上问这个问题,因为这与其他Linux发行版同样重要。
我想将旧的纯iptables防火墙configuration迁移到shorewall设置。 我得到的基础知识,但我一直无法复制我现有的敲门设置: 我有一个“ tmpknock ”链,打开一些端口,例如端口22,持续30秒(如果多个人同时尝试login,则tmpknock链中同时允许多个IP)。 我有一个' permknock '链,永远打开一些端口(比如80),但是一次只能有一个IP(当下一个端口试图从另一个IP端口敲下时 ,这个端口就被replace掉了 ),这就允许我testing一些服务目前不向公众开放) /etc/knockd.conf中的设置很简单: [tmpAndPermKnock] sequence = 10000,11000,12000 seq_timeout = 9 tcpflags = syn start_command = /sbin/iptables -I tmpknock -s %IP% -j ACCEPT; /sbin/iptables -F permknock; /sbin/iptables -I permknock -s %IP% -j ACCEPT cmd_timeout = 30 stop_command = /sbin/iptables -D tmpknock -s %IP% -j ACCEPT 现在我可以很容易地从现有的链条链接到这些链条,例如: iptables -A […]
我有一个根服务器和两个客户端。 根服务器有一个静态IP地址并运行Debian Linux。 我的客户是使用dynamicIP地址的Mac OS X和Debian Linux。 从我的客户端,我可以打开一个VPN连接,但交通被Shorewall封锁。 Shorewall日志告诉我,stream量来自净区域到fw区域(fw是服务器区域,我没有本地区域,因为它只有一台机器),但它应该从vpn区域到fw区域? 这是从日志中的一行: net-fw:DROP:IN=tun0 OUT= SRC=10.8.0.3 DST=10.8.0.1 PROTO=TCP SPT=37744 DPT=3000 这是我的configuration文件: openvpn server.conf: port 1194 proto udp dev tun ca ca.crt cert me.crt key me.key dh dh2048.pem topology subnet server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt keepalive 10 120 comp-lzo user nobody group nogroup persist-key persist-tun status openvpn-status.log verb 3 […]
使用IP别名Linux的一个盒子已绑定来自同一个网卡上的同一子网的多个IP地址。 所以ifconfig用eth0:1和eth0:2来显示设备eth0。 Linux如何确定用于传出IPstream量的IP源地址? 有没有一种方法来定义某些传出stream量应使用的源IP地址?